Пояснення: запитання — і деякі відповіді — щодо джерела витоку Пегаса

Виробник шпигунського програмного забезпечення NSO Group має свої претензії, але ось що ми знаємо після серії щоденних одкровень глобального медіа-консорціуму про імовірне масове зловживання Pegasus державними акторами по всьому світу.

Логотип ізраїльської кіберфірми NSO Group можна побачити в одному з її відділень у пустелі Арава на півдні Ізраїлю. (Фото: Reuters)

Протягом більш ніж тижня з 18 липня глобальний консорціум із 17 медіа-організацій повідомляв про витік списку з понад 50 000 телефонних номерів у більш ніж 45 країнах, які були потенційно мішенню для спостереження шляхом неправильного використання Пегас , шпигунське програмне забезпечення ізраїльського виробництва, яке, за словами його виробника, продається лише державним акторам для відстеження організованих злочинців і терористів.

В Індії були оприлюднені імена 125 потенційних цілей із понад 300 перевірених з понад 2000 індійських номерів, знайдених у списку, що протікав.

Уряд заперечує несанкціоноване перехоплення і описав проект «Пегас» як рибальську експедицію, засновану на припущеннях і перебільшеннях, щоб знеславити індійську демократію та її інститути.

Хоча медіа-консорціум, який опублікував розслідування проекту Pegasus, вказував на дуже специфічну природу клієнтури Pegasus, яка передбачає незаконний державний нагляд за дисидентами, активістами, політиками, юристами та журналістами в глобальному масштабі, він не давав жодного розуміння природи або надійність витоку, нібито для захисту джерела.

У середу офіси NSO Group, компанії кіберрозвідки, яка виробляє Pegasus, були перевірені урядовими чиновниками Ізраїлю.

Команда Міністерства оборони відвідала штаб-квартиру NSO Group в Герцлії поблизу Тель-Авіва в той же час, коли міністр оборони Ізраїлю Бенні Ганц прибув до Парижа з офіційним візитом, The Guardian, яка є одним із медіа-партнерів проекту Pegasus, повідомили.

Номери телефонів президента Франції Еммануеля Макрона у витоку бази даних , і він попросив прем’єр-міністра Ізраїлю Нафталі Беннета провести належне розслідування результатів розслідування ЗМІ.

Проект Pegasus: NSO каже, що це «жарт». Є це?

Те, що розслідування проекту Pegasus не надало подробиць про витік, викликало питання щодо обґрунтування існування такого глобального списку телефонних номерів. Група НСО, яка традиційно не налаштована на ЗМІ, виступила серія лічильників щоб розвінчати розслідування.

NSO стверджує, що розслідування було засноване на списку, який не мав нічого спільного з Pegasus, і що до компанії нещодавно звернувся інформаційний брокер, який запропонував список цілей, який, очевидно, витік із серверів NSO на Кіпрі.

Ми не маємо серверів на Кіпрі і не маємо таких типів списків… Це створений список, не пов’язаний з нами. Ми переглянули це разом із клієнтами, і нам повільно стало зрозуміло, що це сервер пошуку HLR і не має нічого спільного з NSO. Ми зрозуміли, що це був жарт, — сказав засновник і генеральний директор NSO Шалев Хуліо CTECH, ізраїльському новинному веб-сайту, минулого тижня.

Який зв’язок з Кіпром?

Обидві заяви — що NSO не має серверів на Кіпрі, і що список, ймовірно, був отриманий із сервера пошуку HLR (Home Location Register), не пов’язаного з NSO — є підозрілими.

Протестувальники тримають плакати та банери під час акції протесту, в якій взяли участь близько десятка людей біля офісу ізраїльської кіберфірми NSO Group в Герцлії поблизу Тель-Авіва, Ізраїль. (Фото: Reuters)

У 2014 році NSO придбала компанію Circles Technologies, створену на Кіпрі колишнім ізраїльським військовим, насамперед для інтеграції з Pegasus унікальної технології відстеження телефону, яку кіпрська компанія, як стверджувала, розробила.

NSO керувала кіпрським офісом Circles Tech до середини 2020 року, коли, за даними Motherboard, технічного підрозділу канадсько-американського журналу Vice, вона звільнила весь свій кіпрський персонал і закрила операцію в країні.

Імовірно, NSO дійсно підтримувала сервери для свого офісу Circles Tech на Кіпрі протягом значного періоду між 2014 і 2020 роками — вікно, яке значною мірою збігається з проміжком часу, коли нібито були націлені цифри в списку, що витік.

Чи може джерелом витоку бути третя сторона?

Що стосується другої вимоги, бази даних HLR використовуються для визначення місцезнаходження телефону за номером мобільного для виконання нешкідливих завдань, таких як SMS-повідомлення.

Але пошук HLR також може стати першим кроком у запуску кібератаки через шкідливі посилання, надіслані через текст, що є одним із основних методів NSO для встановлення Pegasus.

Якби NSO, або Circles Tech, справді найняла службу пошуку HLR, щоб визначити, чи пристрій зараз активний/зареєстрований і тому доступний для зараження через SMS, пише головний технологічний директор компанії AdaptiveMobile Катал МакДейд, наявність третьої сторони пояснює як єдиний список глобальних цілей може стати доступним з одного джерела.

Фактично, сторонній HLR-сервер як джерело також може пояснити тісну кореляцію, виявлену під час судово-медичної експертизи 67 пристроїв, між відміткою часу для числа в списку, що протікає, і фактичним часом, коли на пристрої почалася активність шпигунського ПЗ. або він потрапив під спостереження — у деяких випадках протягом кількох секунд.

Наскільки «божевільним» насправді є обсяг?

Третя зустріч NSO полягала в тому, що обсяг — понад 50 000 цільових показників — був божевільним, оскільки середня кількість цілей на одного клієнта NSO була близько 100, а компанія не продала більше ніж 60 клієнтам.

Взято за чисту ціну, це, здається, заважає претензіям медіа-консорціуму. Однак, відкриття WhatsApp у 2019 році про проникнення Pegasus показало, що принаймні 121 індійський номер був націлений лише за 12 днів з 29 квітня по 10 травня. Для порівняння, останнє розкриття стверджує, що в період з 2016 по 2021 рік у списку потенційних цільових осіб було понад 2000 індійських номерів.

NSO довіряє своїм технологіям

NSO категорично заперечує використання Pegasus на певних цілях, таких як французькі політики та дружина вбитого саудівського журналіста Джамаля Хашоггі. Однак компанія весь час стверджувала, що не відстежує конкретні цілі своїх клієнтів.

Засновник-генеральний директор Хуліо спробував вирішити це очевидне протиріччя в своєму інтерв’ю CTECH. Партнери проекту Pegasus, за його словами, поділилися з NSO кількома з 37 номерів, які вони, як стверджували, підтвердили як цільові з Pegasus.

Твердження про те, що вони знайшли щось криміналістичне, є неправильним… Ми перевірили номери, які нам надали з кожним клієнтом, включаючи попередніх клієнтів, у яких ми просили дозволу на пошук у їхніх системах, — цитує Хуліо.

Наполягаючи на тому, що клієнт не може брехати, оскільки це аналіз, який ми проводимо в його системних журналах, Хуліо виключив можливість того, що його клієнти можуть знайти способи обдурити флагманське програмне забезпечення NSO. Ця гордість за свою технологію також знайшла відображення у заяві NSO, що будь-який випадковий список із 50 000 телефонних номерів може включати кілька десятків цілей Pegasus.

NSO стверджує, що припинить зловживання — твердження, яке звучить порожньо

Під інтенсивним відвертістю ЗМІ Хуліо також стверджував, що журналісти, правозахисники та громадські організації заборонені, і що NSO зробить усе, щоб запобігти зловживанню Pegasus.

Але з огляду на повторювані випадки неправомірного використання Pegasus у минулому, якщо будь-які кримінальні дії закриті таємницею, зобов’язання NSO є пустими.

Крім того, лише 67 з 50 тисяч телефонів були перевірені судово-медичною експертизою, а 37 — здебільшого належали членам угруповання, які, як стверджує НСО, були заборонені — викинули сліди Пегаса.

Зіткнувшись із цими цифрами, Хуліо захищався — і визнав, що НСО змінила політику щодо прав людини лише у 2020 році, тоді як дані, що витікали, були за 2017 та 2018 роки. Він пообіцяв вживати заходів проти клієнтів, яких визнано винними в ході розслідування.

Тривала таємниця джерела витоку, можливо, поставила під сумнів його довіру, але рішуче заперечення розробника шпигунського ПЗ ще не стало останнім словом.

Поділіться Зі Своїми Друзями: